신뢰할 수 없는 VPN 클라이언트가 내 네트워크 활동을 모니터링할 수 있나요?

Question 1

VPN을 통해 연결되면 클라이언트가 내 컴퓨터에서 무엇을 하고 있는지 모니터링할 수 있나요?

실제로 설치된 항목과 VPN 클라이언트 구성 방법에 따라 다릅니다.

일반 VPN 클라이언트는 사용자가 일반적으로 수행하는 작업에 대한 정보를 전송하지 않습니다. 서버는 사용자가 파일을 편집하고 있는지, 어떤 파일을 편집하고 있는지 알지 못합니다.

그러나 이는 네트워크 트래픽을 (분명히) 처리하며 해당 트래픽에서 많은 정보를 확인할 수 있습니다. 예를 들어, VPN 서버 관리자는 귀하가 TeamViewer를 사용하고 있는지(실제 데이터는 아님, 암호화됨), YouTube를 시청하고 있는지(실제 비디오 URL은 아님, 암호화됨), 또는 이메일을 보냅니다(실제 이메일 내용은 아님). 즉, ISP가 볼 수 있는 모든 것을 볼 수 있지만 일반적으로 그 이상은 볼 수 없습니다.

먼저 VPN 클라이언트를 두 가지 경로 중 하나로 구성할 수 있습니다.모두터널을 통과하는 트래픽 또는 특정 트래픽만 포함합니다. (다른 모든 것은 그대로 두고 학교/회사 네트워크에만 연결하는 VPN, 즉 "분할 터널" VPN을 사용하는 것이 매우 일반적입니다.)

클라이언트가 정직하고(게으르지 않은 경우) 해당 클라이언트 서버에 대한 트래픽만 포착하도록 VPN을 구성할 수 있습니다. 그러나 그들은~할 수 있다또한 모든 트래픽(또는 경쟁사 웹사이트 등의 트래픽)을 캡처하도록 VPN 클라이언트를 구성하세요. 물론 모든 트래픽에 대해 VPN을 활성화하는 것은 그 자체로는 전혀 악의적이지 않지만 클라이언트가 사용자를 모니터링할 수 있게 해줍니다.

그리고 귀하의 경우 "VPN에 연결하면 내 IP 주소가 다릅니다."는 다음과 같은 강력한 표시입니다.모든 것VPN을 통과합니다.

하지만 둘째, 설치 여부가 100% 확실하지 않습니다.단지VPN. 그들~할 수 있었다다른 소프트웨어(예: 모든 브라우저 방문을 구체적으로 기록하거나 현재 활성화된 프로그램을 추적하는 소프트웨어)를 설치했습니다.

클라이언트가 내 다른 작업을 모니터링하지 못하도록 할 수 있나요?

클라이언트가 귀하의 컴퓨터에 소프트웨어를 설치하도록 허용했지만 이미 손실되었습니다.

그것~이다안전을 유지하면서 클라이언트 네트워크에 연결하기 위해 VPN을 사용할 수 있습니다. 그러나 이를 수행하는 정확한 방법은 사용해야 하는 VPN 클라이언트에 따라 다릅니다.

처음에는 제공된 정보에서 VPN 클라이언트를 직접 다운로드하고 구성해야 하며(클라이언트가 수행하도록 허용하는 대신) VPN 클라이언트에 "원격 프로비저닝" 기능이 없는지 확인해야 합니다. 더 많은 구성 요소를 로컬로 설치할 수 있습니다.

의심스러운 경우 클라이언트 제공 소프트웨어를 별도의 컴퓨터(예: VM)에만 설치하고 기본 컴퓨터에는 설치하지 마십시오.

Answer

VPN을 통해 연결되면 클라이언트가 내 컴퓨터에서 무엇을 하고 있는지 모니터링할 수 있나요?

실제로 설치된 항목과 VPN 클라이언트 구성 방법에 따라 다릅니다.

일반 VPN 클라이언트는 사용자가 일반적으로 수행하는 작업에 대한 정보를 전송하지 않습니다. 서버는 사용자가 파일을 편집하고 있는지, 어떤 파일을 편집하고 있는지 알지 못합니다.

그러나 이는 네트워크 트래픽을 (분명히) 처리하며 해당 트래픽에서 많은 정보를 확인할 수 있습니다. 예를 들어, VPN 서버 관리자는 귀하가 TeamViewer를 사용하고 있는지(실제 데이터는 아님, 암호화됨), YouTube를 시청하고 있는지(실제 비디오 URL은 아님, 암호화됨), 또는 이메일을 보냅니다(실제 이메일 내용은 아님). 즉, ISP가 볼 수 있는 모든 것을 볼 수 있지만 일반적으로 그 이상은 볼 수 없습니다.

먼저 VPN 클라이언트를 두 가지 경로 중 하나로 구성할 수 있습니다.모두터널을 통과하는 트래픽 또는 특정 트래픽만 포함합니다. (다른 모든 것은 그대로 두고 학교/회사 네트워크에만 연결하는 VPN, 즉 "분할 터널" VPN을 사용하는 것이 매우 일반적입니다.)

클라이언트가 정직하고(게으르지 않은 경우) 해당 클라이언트 서버에 대한 트래픽만 포착하도록 VPN을 구성할 수 있습니다. 그러나 그들은~할 수 있다또한 모든 트래픽(또는 경쟁사 웹사이트 등의 트래픽)을 캡처하도록 VPN 클라이언트를 구성하세요. 물론 모든 트래픽에 대해 VPN을 활성화하는 것은 그 자체로는 전혀 악의적이지 않지만 클라이언트가 사용자를 모니터링할 수 있게 해줍니다.

그리고 귀하의 경우 "VPN에 연결하면 내 IP 주소가 다릅니다."는 다음과 같은 강력한 표시입니다.모든 것VPN을 통과합니다.

하지만 둘째, 설치 여부가 100% 확실하지 않습니다.단지VPN. 그들~할 수 있었다다른 소프트웨어(예: 모든 브라우저 방문을 구체적으로 기록하거나 현재 활성화된 프로그램을 추적하는 소프트웨어)를 설치했습니다.

클라이언트가 내 다른 작업을 모니터링하지 못하도록 할 수 있나요?

클라이언트가 귀하의 컴퓨터에 소프트웨어를 설치하도록 허용했지만 이미 손실되었습니다.

그것~이다안전을 유지하면서 클라이언트 네트워크에 연결하기 위해 VPN을 사용할 수 있습니다. 그러나 이를 수행하는 정확한 방법은 사용해야 하는 VPN 클라이언트에 따라 다릅니다.

처음에는 제공된 정보에서 VPN 클라이언트를 직접 다운로드하고 구성해야 하며(클라이언트가 수행하도록 허용하는 대신) VPN 클라이언트에 "원격 프로비저닝" 기능이 없는지 확인해야 합니다. 더 많은 구성 요소를 로컬로 설치할 수 있습니다.

의심스러운 경우 클라이언트 제공 소프트웨어를 별도의 컴퓨터(예: VM)에만 설치하고 기본 컴퓨터에는 설치하지 마십시오.

Question 2

클라이언트가 VPN을 설치했습니다.

예, 그들은 개념적으로 감시를 포함하여 원하는 모든 것을 할 수 있습니다. 절대적으로 신뢰하지 않는다면 예방 조치를 취하기에는 이미 너무 늦었습니다. 실제로는 악의적이지 않을 가능성이 높으므로 컴퓨터를 지우는 것(즉, OS/소프트웨어 재설치)만으로도 충분할 것입니다.

내 질문은 VPN을 통해 연결되면 클라이언트가 내 컴퓨터에서 내가 하고 있는 작업(예: YouTube 보기, 화면 공유, 다른 클라이언트 프로젝트 작업 등)을 모니터링할 수 있느냐는 것입니다.

게다가 그들은 이미 귀하의 컴퓨터를 루팅했습니다. 네트워킹 관점에서만 볼 때 VPN을 구성하는 방법에는 여러 가지가 있습니다. 그 중 하나는 VPN 엔드포인트가 인터넷에 연결되도록 터널을 통해 모든 트래픽을 라우팅하는 것입니다. 이 경우 사용자가 방문하는 사이트와 시간에 대한 메타데이터를 볼 수 있지만 HTTPS 연결 또는 SSH 연결의 암호화된 페이로드는 안전해야 합니다. 글쎄요, 더 깊이 스누핑할 수 있도록 암호화를 방해할 수도 있다는 사실 외에도…기업스타일 네트워킹 도구는 클라이언트 엔드포인트 소프트웨어를 설치할 때 기본적으로 이 작업을 수행합니다.

다음번을 위한 예방 조치

클라이언트가 컴퓨터에 소프트웨어를 설치하는 것을 허용하지 마십시오. 항상. 특히 당신이 그것에 대해 불안감을 느끼는 경우. 개발 머신을 제어하는 것이 매우 중요하다면 제공을 요청하세요. 그렇지 않으면 좋은 가상화 소프트웨어(기본적으로 VMWare Workstation)를 구입하고 개발 VM 내에서 직접 VPN을 구성하세요.

Answer

클라이언트가 VPN을 설치했습니다.

예, 그들은 개념적으로 감시를 포함하여 원하는 모든 것을 할 수 있습니다. 절대적으로 신뢰하지 않는다면 예방 조치를 취하기에는 이미 너무 늦었습니다. 실제로는 악의적이지 않을 가능성이 높으므로 컴퓨터를 지우는 것(즉, OS/소프트웨어 재설치)만으로도 충분할 것입니다.

내 질문은 VPN을 통해 연결되면 클라이언트가 내 컴퓨터에서 내가 하고 있는 작업(예: YouTube 보기, 화면 공유, 다른 클라이언트 프로젝트 작업 등)을 모니터링할 수 있느냐는 것입니다.

게다가 그들은 이미 귀하의 컴퓨터를 루팅했습니다. 네트워킹 관점에서만 볼 때 VPN을 구성하는 방법에는 여러 가지가 있습니다. 그 중 하나는 VPN 엔드포인트가 인터넷에 연결되도록 터널을 통해 모든 트래픽을 라우팅하는 것입니다. 이 경우 사용자가 방문하는 사이트와 시간에 대한 메타데이터를 볼 수 있지만 HTTPS 연결 또는 SSH 연결의 암호화된 페이로드는 안전해야 합니다. 글쎄요, 더 깊이 스누핑할 수 있도록 암호화를 방해할 수도 있다는 사실 외에도…기업스타일 네트워킹 도구는 클라이언트 엔드포인트 소프트웨어를 설치할 때 기본적으로 이 작업을 수행합니다.

다음번을 위한 예방 조치

클라이언트가 컴퓨터에 소프트웨어를 설치하는 것을 허용하지 마십시오. 항상. 특히 당신이 그것에 대해 불안감을 느끼는 경우. 개발 머신을 제어하는 것이 매우 중요하다면 제공을 요청하세요. 그렇지 않으면 좋은 가상화 소프트웨어(기본적으로 VMWare Workstation)를 구입하고 개발 VM 내에서 직접 VPN을 구성하세요.

Question 3

VPN에 연결하면 내 IP 주소가 다릅니다.

WIMI(What Is My IP)와 같은 서비스에 표시된 대로 인터넷의 공용 IP 주소를 참조한다고 가정합니다.https://wimi.com/

이는 VPN 클라이언트가 VPN을 통해 모든 트래픽을 리디렉션하고 있음을 의미합니다. OpenVPN은 이것을 "기본 게이트웨이 리디렉션"이라고 부르며 모든 인터넷 트래픽은 귀하의 inet 링크를 그들의 네트워크로 전달하고 다시 인터넷으로 전달합니다.

네트워크의 모든 프록시 서버/방화벽 장치는 트래픽을 모니터링할 수 있습니다.

단기적인 해결 방법은 로컬 시스템에서 시스템의 라우팅 테이블을 수정하고 VPN이 연결된 후 기본 게이트웨이를 복원하는 것입니다.

관리자 명령 프롬프트를 시작하고 실행하십시오.

 route print

다음은 Windows IPv4 경로 테이블의 상단입니다.

IPv4 Route Table
=================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0    456.789.104.1  456.789.105.201     25  <-- my default gateway
        888.1.0.0    255.255.240.0      198.18.18.1      198.18.18.5     35  <-- a VPN
....

고객 VPN이 연결되어 있을 때와 연결되지 않을 때의 기본 게이트웨이 회선 간의 차이점을 비교하는 것이 좋습니다.

클라이언트 VPN을 연결한 후 즉시 (관리자 권한으로) 실행하려는 명령은 다음과 같습니다.

route CHANGE 0.0.0.0 MASK 0.0.0.0   (your-default-GWIP-when-VPN-off) 
route CHANGE 0.0.0.0 MASK 0.0.0.0   456.789.105.1                  # for me

이는 VPN이 수행할 수 있는 IPv6 변경 사항을 간략하게 설명합니다. 또한 VPN이 모든 DNS 요청을 클라이언트의 DNS 서버로 보내는 경우 DNS 확인자를 확인해야 합니다.

클라이언트 VPN이 다음과 같은 경우오픈VPN기반으로 로컬 구성 파일을 편집하고 다음과 같은 줄을 추가할 수 있습니다.

 pull-filter ignore redirect-gateway

VPN과 함께 제공되는 DNS 서버를 덮어쓰려면 다음과 같은 줄이 해당 설정을 무시합니다.

 pull-filter ignore "dhcp-option DNS "

문서화 위치:https://community.openvpn.net/openvpn/wiki/IgnoreRedirectGateway

Answer